La cybercriminalité à la loupe

La 3e édition du rapport Security Navigator d’Orange Cyberdefense vient d’être publiée. Ce rapport décrit un paysage en pleine expansion de la cybersécurité, à partir de données recueillies par un des leaders du marché des services et de la recherche en cybersécurité.

En 2021, les centres d’opérations de sécurité (SOC) et les CyberSOC d’Orange Cyberdefense ont analysé plus de 60 milliards d’événements par jour, et enquêté sur plus de 94 000 incidents de sécurité. Les experts d’Orange Cyberdefense se sont penché sur ces données dans le but de construire une société numérique plus en fournissant à la communauté des informations précieuses. Voici les principales conclusions de ce rapport.

1. Des logiciels malveillants de plus en plus présents

En 2021, la présence de logiciels malveillants (38 %) a été l’incident de sécurité le plus détecté. Les incidents liés au réseau chutent de 13 % pour représenter 22 % du total des incidents. Cette situation contraste avec celle de 2020, puisque les anomalies sur le réseau et les applications constituaient alors le premier type d’incident (35 %).

En fait, le nombre d’attaques de malware a presque doublé au cours des douze derniers mois. Cela peut s’expliquer en partie par le fait que certains des grands clients d’Orange Cyberdefense ont développé leurs capacités de détection des menaces de manière à inclure les logiciels malveillants. Il est toutefois évident que l’activité des logiciels malveillants a dans l’ensemble augmenté.

2. Les rançongiciels constituent désormais la menace la plus sérieuse

Les rançongiciels (ransomware) représentent désormais la plus grande menace pour les entreprises. Les attaques de « cyber-extorsion » sont une forme de cybercriminalité qui compromet la sécurité d’un actif numérique d’une entreprise (confidentialité, intégrité ou disponibilité) et exploite la vulnérabilité ainsi créée pour extorquer le paiement d’une somme d’argent.

Les criminels utilisent souvent l’approche dite de la « double extorsion » qui consiste à divulguer des échantillons de données volées pour accélérer l’obtention du paiement. Les recherches d’Orange Cyberdefense montrent que les occasions d’attaques par double extorsion ont été multipliées par près de six entre le premier trimestre 2020 et le troisième trimestre 2021.

Par ailleurs, les cybercriminels qui utilisent le ransomware redoublent d’efforts pour inciter leurs victimes à payer, notamment en lançant des attaques en déni de service, en envoyant des e-mails aux clients ou en mettant aux enchères les données volées.

3. L’industrie manufacturière, secteur le plus visé par les attaques de cyber-extorsion

Si tous les secteurs ont été confrontés à des menaces de fuite de données, l’industrie et les services professionnels, scientifiques et techniques occupent les deux premières places du classement des secteurs les plus attaqués. L’industrie manufacturière représente effectivement plus de 23 % des cas d’attaques par cyber-extorsion recensées par Orange Cyberdefense entre janvier 2020 et octobre 2021.

Plusieurs raisons expliquent que ces industries soient les premières touchées par ces attaques. Les cybercriminels pensent sans doute que les entreprises de ces secteurs sont les plus susceptibles de payer une rançon. Il se peut aussi que les aptitudes de ces entreprises en matière de cybersécurité, y compris leur capacité à se remettre d’une cyberattaque, ne soient pas aussi solides que celles des entreprises d’autres secteurs. Il se peut également que leur taille en nombre total d’entreprises suffise à ce que le phénomène y soit plus fréquent.

Comme il n’y a pas de spécialisation sur ces secteurs en particulier, nous pouvons donc supposer qu’ils ne sont pas explicitement visés. Le dénominateur commun semble effectivement être que ces entreprises sont moins préparées à faire face aux cyberattaques.

4. Augmentation des incidents OT, ICS et IOT

Le secteur manufacturier est confronté à une autre menace sérieuse : la fréquence à la hausse des compromissions des technologies opérationnelles (OT), des systèmes de contrôle industriel (ICS) et d’environnements IoT. Ce type de menace représente aujourd’hui 10 % de l’ensemble des vulnérabilités. Les technologies opérationnelles surveillent et gèrent les actifs des processus et équipements industriels/de production. Les ICS sont utilisés dans presque tous les secteurs industriels, ainsi que dans les infrastructures critiques telles que l’industrie manufacturière, les transports, l’énergie et le traitement de l’eau.

Malheureusement, les vulnérabilités dans ces domaines sont critiques et souvent faciles à exploiter. Selon le rapport, cette situation est liée au manque de maturité du secteur IT/OT en matière de sécurité.

5. Les produits de sécurité directement visés par les pirates informatiques

Les acteurs malveillants ciblent directement les produits de sécurité. Plusieurs mesures et événements suggèrent que les technologies de sécurité figurent en bonne place dans le radar des cybercriminels et groupes de hackers soutenus par un État. La recherche de vulnérabilités dans les technologies de sécurité s’accélère, et ces vulnérabilités sont exploitées pour provoquer des compromissions graves à un rythme effrayant.

Compte tenu de cette tendance, il est impératif que les entreprises se tiennent au courant des nouvelles vulnérabilités et qu’elles s’efforcent de les corriger rapidement en appliquant des correctifs. Dans le même temps, les entreprises doivent être en mesure d’identifier les produits touchés pour prendre rapidement les mesures d’atténuation appropriées.

6. Les techniques d’intrusion de base toujours populaires

Les attaques sont peut-être de plus en plus sophistiquées, mais les acteurs malveillants utilisent toujours des techniques de base pour pénétrer le réseau des entreprises, comme les e-mails de phishing (hameçonnage). La sensibilisation au phishing dans le cadre de la formation à la sécurité informatique en entreprise est un facteur de prévention critique.

Le malware Trickbot est fréquemment utilisé dans les campagnes de phishing. Il est particulièrement dangereux en raison de sa capacité intrinsèque à muter. La détection de Trickbot, un cheval de Troie établi sur Microsoft Windows et d’autres systèmes d’exploitation, est impérative pour éviter toute compromission. Outre ses comportements malveillants, Trickbot peut travailler en association avec des ransomwares et permettre à ces derniers de se déployer sur le réseau compromis.

Accédez à une vue d’ensemble de la cybersécurité, obtenez de précieuses informations sur le paysage mondial des menaces et apprenez à vous protéger avec le rapport Security Navigator 2022 d’Orange Cyberdefense à télécharger ici.

jan-howels_0.png
Jan Howells

Depuis plus de 22 ans, je signe des articles sur les technologies pour des magazines et des sites Web tels que ComputerActive, IQ et Signum. Correspondante de ComputerWorld à Sydney, j’ai également travaillé pour la chaîne de Ziff Davis à New York.